Android: Mail-Apps TypeApp & Blue Mail sollen Kennwörter an Betreiber senden
Mike Kuketz, unter anderem Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe, warnt in seinem Blog vor zwei Mail-Clients auf der Android-Plattform. Konkret handelt es sich dabei um „Blue Mail – Email & Kalender App“ und „Email TypeApp – Mail & Calendar“. Zuerst genannte App kommt auf 5 bis 10 Millionen Installationen bei 4,6 Sternen, während die andere App 1 bis 5 Millionen Installationen auf der Uhr hat – bei ebenfalls 4,6 Sternen.
Kuketz warnt, dass beide Apps Mail-Adressen und Passwörter an den Betreiber übermitteln würden – im Klartext. Bedeutet also, dass ihr die Daten in die Hände des Betreibers gebt. Das machen einige Apps so, allerdings kommt da zumindest eine Verschlüsselung des Passworts zum Einsatz.
Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.
Im Beitrag von Kuketz heißt es weiter: „Hinter TypeApp und Blue Mail stecken also vermutlich identische Betreiber – das lässt schon fast darauf schließen, dass hier gezielt nach E-Mail-Adressen inklusive den dazugehörigen Passwörtern gefischt wird„. Sein „vermutlich“ wird sicher passen. Dies kann man innerhalb einer Minute selber herausfinden, indem man in die Terms of Service von TypeApp schaut, dort wird auch Blue genannt, zudem haben die Webseiten eine große Ähnlichkeit..
Nutzer der App haben nun diverse Möglichkeiten. Sie können nun die Betreiber mal befragen, warum die Passwörter im Klartext übermittelt werden, bzw. was es genau damit auf sich hat. Alternativ ist ein Wechsel auf andere Clients möglich, K-9 Mail ist auf Android sehr beliebt. Des Weiteren sollte man dann vielleicht auch das Passwort zum Mail-Konto ändern und im Falle von Google Mail den Zugriff widerrufen.
BlueMail selber widerspricht den Vorwürfen.
The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable. Please contact us directly for clarification.
— BlueMail (@BlueMail) March 6, 2018
Immer wieder stellt sich mir die Frage: Wer braucht eigentlich diese Apps von irgendwelchen Nischen-Anbietern? Wieso werden sie genutzt?
Mehrere Konten, mehrere Features, Vorlieben, Verzahnung. Viele Möglichkeiten.
Geht mit Google Mail, geht mit Outlook. Ich vertraue kleinen Software-Klitschen nicht.
Kann ich nachvollziehen 🙂
Mhh … und warum sollte man der Mega-Datenkrake Google jetzt mehr vertrauen?
Jo, die Kleinen werden nicht genutzt oder werden von den Großen geschluckt. Schöne neue big-data-Welt der Konzerne.
Zumindest bei Android ist Outlook allerdings auch nicht gerade die ideale Wahl; da läuft auch alles über deren Server. Oder ist das mittlerweile anders?
Outlook (die Android-App) ist nicht von MS, sondern auch von einer „kleinen Software-Klitsche“. Von MS aufgekauft, ja, aber angeblich weiterhin ein eigenes Team, was die Passwörter auf ihren eigenen Servern speichert. Ich traue auch MS nicht, was für mich die Outlook-App in doppelter Hinsicht zum NoGo werden lässt. Kleinen Software-Firmen bringe ich zwar grundsätzlich mehr Vertrauen entgegen, aber nicht wenn sie meine Zugangsdaten auf ihren Servern speichern.
Gibt ja auch wirklich genug Alternativen, die die Passwörter lokal im Gerät speichern, „Nine“ zB finde ich für ein Exchange-Konto super, und selbst die Android-Exchange Integration speichert
Wieso sollte man für verschiedene Emailkonten jeweils eigene Apps installieren?
Ich nutze zum Beispiel nine. Teuer aber ich habe sonst keinen Anbieter für Exchange Mails gefunden, bei dem ich einstellen kann, wann Mails abgerufen werden sollen (push) und wann gar nicht (Nacht und Wochenende). Da mein dual sim Handy privat und beruflich genutzt wird, will ich aber die Arbeitsmails nur von 6 bis 20 Uhr sehen…. Daher auch zwei Apps. Habe noch keine bessere Lösung gefunden.
Mach ich ganz exakt genau so, inkl. Uhrzeiten! Witzig! 🙂
Man kann auch beruflich von privat distanzieren, indem man 2 Geräte hat 🙂 oder noch besser : Internet aus und schon kommt nix mehr an.
Zu a) dann aber zwei Geräte mit sich rumschleppt, zu b) dann aber sich privat abklemmt und nicht mehr selbst online News lesen könnte, nur um nicht von der Arbeit gestört zu werden. 😉
Kann ich dir sagen: weil die bekannten Clients alle kein „Clustern nach Absender“ beherrschen. Das höchste der Gefühle ist, dass man die Mails nach Absendern sortiert kriegt. Aber mal 10 Mails eines Absenders mit einem Wisch archivieren oder löschen ist nicht drin.
Ist für die Generation „ich hol meine Mails alle 15 Minuten ab“ nicht so wichtig, ich geh den ganzen Kram einmal in der Woche durch, da ist das viel spannender.
Selber schuld für diese Leute ein Exchange fähiger Client ist doch Default in Board, nennt sich Gmail!
Gmail ischafft bis heute nicht ein gmx Konto vernünfig zu verwalten. Alle s E-Mails die man im GMX Konto löscht kommen beim nächsten Abruf wieder rein. Der Fehler ist schon seit Jahren bekannt aber bei Google interessiert siech niemand für die Belange der Android Benutzer. Lächerlich.
Ich nutze AquaMail und bin ganz zufrieden.
Ich habe viel probiert, bin dann auch bei Aquamail hängen geblieben. Am liebsten hätte ich allerdings den Standard-iOS-Mailclient auf Android, gut und simpel. Ich hoffe nur, Aquamail fängt nicht irgendwann so einen Schwachsinn mit „intelligenten“ Filtern an wie Outlook für Android. Das mag bei manchem funktionieren, ich finde es grauenvoll.
Dann ürobier mal diesen Link. Ich nutze icloud mail auf dem Android Handy. Geht super und zerschiesst mir nicht meine Ordner auf dem Mac oder iPad. Geht natürlich auch mit anderen Adressen. App ist super aufgeräumt und einfach. Genauso wie die IOS app.
https://play.google.com/store/apps/details?id=com.easilydo.mail
Da die App kostenlos ist, werden da die Passwörter bestimmt ebenfalls in Klartext an den Server des Betriebes übermittelt. Weiß da einer was?
Jo … bis heute war ich auch zufrieden mit Blue-Mail … und nu?
Wem soll Deine Antwort weiterhelfen, wenn Zufriedenheit das einzige Argument ist?
Kann Aquamail clustern, so dass ich in einem Schwung alle Nachrichten eines Newsletters oder von dem Blog hier löschen kann? Geht unified Inbox? Kann das ordentlich archivieren?
Man nutzt einfach keine apps, die nicht in fdroid sind…
Ist Blue Mail nicht der Client, der alle Mails per Default über den Server des Betreibers routet? Daher ja verständlich, dass Zugangsdaten im Klartext übertragen werden müssen. Was natürlich aus Privacy-Sicht eine ganz beschissene Idee ist, vor allem da die Mails ja beim eigenen Mailserver sowieso schon auf einem Server liegen. Doppelt macht es in diesem Fall nicht besser
Genau so ist. Von Bluemail ist das meines Wissens schon länger bekannt.
Bin vor einiger Zeit auf eigene Domain und synology umgestiegen. Ich hoffe die Schnüfflelei damit einzudämmen
Outlook für Android macht viel richtig, ebenso Gmail. Wer viele Konten nutzt und spezielle Features sucht, sucht aber vielleicht etwas anderes. Da hat man schlicht weniger Auswahl als bei iOS, wo sich gute Mail Clients die Klinke in die Hand drücken. Selbst nutze ich Outlook mit 3 Konten. Jedoch funktioniert der Archivordner nicht in Verbindung mit unserer Exchange Ordnung. Zero Inbox ist nicht.
Outlook schickt deine Daten auch über MS-Server…
Das Thema kocht immer mal wieder hoch hier im Blog; ka warum dieser andere Blog jetzt etwas neues erzählt… Der Hinweis auf die gleiche Firma ist weit weniger dubios als hier getan wird – zumindest auf Nachfrage wird die Zusammengehörigkeit bestätigt.
Ich halte es schon für dubios. Vielleicht auch, weil es sich mir nicht erschließt, warum man die gleiche App mit einem anderen Namen und einer anderen Firma an den Start bringen muss.
Bei Outlook seh ich das anders: Outlook (die Android-App) ist nicht von MS, sondern auch von einer kleinen Software-Klitsche. Von MS aufgekauft, ja, aber angeblich weiterhin ein eigenes Team, was die Passwörter auf ihren eigenen Servern speichert.
Die Integration verschiedener Protokolle in das System ist bei Android so gut gemacht, dass es für die meisten User reicht, daher mag die Auswahl an Mail Clients geringer sein, als bei iOS. Aber gute Mail Clients gibts trotzdem darüber hinaus eine ganze Reihe: Nine, Aquamail, K9 fallen mir spontan ein, gibt aber auch noch mehr.
Aqua Mail ist auch meine Wahl.
Gab’s neulich mal mit ordentlich Rabatt und seitdem hab ich das altbackene und verbuggte K9 Mail in Rente geschickt. FOSS ist leider nicht immer die erste Wahl.
Eye Candy ist zwar nicht ausschlaggebend aber nice to have. Außerdem kommt z.B. K9 Mail immer noch nicht mit Exchange 2010+ klar, für mich ein klares Ausschlusskriterium.
Und ganz ehrlich, niemand mit dem ich noch vertrauliche Informationen austausche nutzt Mail mit PGP, dafür gibt’s wirklich bessere Lösungen (Wire z.B.). Kann ich also auch gut drauf verzichten, daher ist es mir ziemlich schnuppe ob ein Android Mail Client das unterstützt oder nicht.
Ich nutze auch Aquamail. Würde mich sehr interessieren, ob auch bei Aquamail Passwörter im Klartext übermittelt werden. Weiss jemand wie man das nachprüft?
Du loggst alle Pakets in deinem Netzwerk mit und durchsuchst die Paket von Aquamail nach deinen Zugangsdaten. Klartext rauszufinden ist echt einfach. Schwieriger wirds zu überprüfen, wenn der Mailclient die Zugangsdaten verschlüsselt überträgt.
Sprich: nur weil du keine Daten beim Überwachen findest, heißt es noch lange nicht, dass du deinem Client vertrauen kannst.
In MailDroid kann man solche Benachrichtigungsregeln nach Uhrzeit und Konten einstellen. 😉
So verbuggt ist K9 auch nicht. Hat mich noch nie im Stich gelassen. Aktuelle Versionen auf Github: https://github.com/k9mail/k-9/releases
Gibt es denn, außer K9, eine andere sichere Alternative? Wie AquaMail, MailDroid,…? Weiß da jemand was über diese Clients?
Nein, es gibt keine sicheren Clients, es sei denn du hast sie selbst geschrieben. Bei K9 ist die Wahrscheinlichkeit höher, aber auch K9 kann dir ein Update unterschieben, das deine Passwörter abfließen lässt. Wird zwar irgendwann auffallen, aber bis dahin kann es auch dauern.
In nutze seit längerem Inbox und die Gmail App. Das reicht mir für das mobile Dasein…
Posteo als Anbieter, miCal als App…Posteo kostet 1€ pro Monat, miCal einmalig 4,99€. Alles super. Server in Deutschland, Passwörter sind gesalzen, also auch für den Prvider nicht einsehbar. Das ist mir meine private Kommunikation wert.
Posteo & Mailbox.org sind Super,
haben aber beide keine Android App, funktioniert nur
umständlich über den Browser, ein großer Nachteil!
Ich nutze trotzdem Mailbox.org & Outlook,
wegen mangelnder Alternative,
also Alles (App & Client) aus einer Hand.
Hallo, ich bin Redakteur bei Mobilsicher und habe eine Nachfrage.
Sie schreiben: „Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.“
-> Mir ist nicht ganz klar, was Sie meinen. Haben Sie ihr Gmail-Konto mit der Blue Mail-App verknüpft und gesehen, dass bei Gmail, anders als bei anderen Mail-Providern, das Problem nicht besteht? Das heißt, dass in Ihrem Test Mail-Adresse und Passwort bei einem Gmail-Konto nicht ungehasht übertragen wurde? Oder hab ich Sie da falsch verstanden?
Besten Dank, mit freundlichen Grüßen, Stefan Mey
@Stefan: Ich schreibe dir eine Mail dazu.
Ich bin kein Redakteur bei Mobilsicher sondern nur neugiereiger und interessierter Nutzer, aber diese Frage habe ich mir beim Lesen auch gestellt. Könnten Sie das vielleicht auch für die Blogleser hier beantworten oder ggf. erläutern wieso Sie das nicht für alle beantworten (können)?
Hallo Haiko, ich schrieb eine Mail, damit es nicht untergeht. Aber auch hier für dich auch einmal:
„Bei einem vorliegenden Gmail- / Google-Konto wird eine OAUTH-Autorisierung durchgeführt.
https://developers.google.com/gmail/api/auth/about-auth
Der Nutzer übergibt also nicht Nutzernamen und Passwort an den Anbieter, sondern der bekommt „nur“ den besagten Zugriff. Wie das bei den anderen vorgegebenen Providern ist, ist mir nicht bekannt, aber da werden sicher auch einige OAUTH anbieten. Beim manuellen Anlegen eines Kontos – in eurem Falle war das GMX – muss eben der Server, Nutzername und das Passwort übergeben werden.“
Vielen Dank für die (zudem zügige) Antwort. 🙂
Hi Schwuppps,
hast du den Link zu dem Changelog vllt. noch?
Ja, das Problem haben jetzt wohl einige mit ner neuen App. Anscheinend ist Nine und Aqua Mail auch nicht so prickelnd (wegen Datensammlung und Werbung über Google DoubleClick). Suuuper, wird ja immer besser…
Vielleicht wartet man einfach bis der Hersteller reagiert? Keine Ahnung.
Grüße Stefan
Gehe in den Play Store von Google und rufe die App auf, da erscheint es.
Vielleicht haben sie besagt Sync Funktion entfernt? Ich kann das nicht nachtesten, ich nutze BlueMail nicht.
Um es nochmal festzuhalten, das die Passwörter im Klartext übertragen werden ist natürlich Bullshit!
mobilsicher haben Blue Mail getestet – und waren entsetzt. Die App schickt Nutzername und Passwort an die eigenen Server. Auch noch NACH dem Update. Deinstallieren! Sofort!
https://www.facebook.com/mobilsicher/posts/732439407143676
Oder hier: https://mobilsicher.de/aktuelles/sicherheits-desaster-mail-apps-uebertragen-passwoerter
Habt ihr die Account Backup and Sync Funktion getestet?
Nein, haben wir nicht. Haben den Datenverkehr geloggt bei: 1. Start der App 2. Verknüpfen eines gmx-Kontos 3. Abrufen von Mails aus dem verknüpften Konto.
Übrigens hat Blue Mail gestern (7.3.) ein zweites Update ausgerollt, 1.9.4.1 Das haben wir noch nicht getestet. Sie haben uns aber geschrieben und versichert, dass es jetzt wirklich wirklich gefixt ist.
Und du hast offenbar die Hosen voll. 😉
Ist heute wieder Ausgang für Trolle?